Uno dei nostri server VPS ha un'installazione di psybnc su di esso. L'installazione è stata presente per un po 'di tempo e ora è stata portata alla nostra attenzione. Abbiamo dei backup, ma hanno anche psybnc su di essi. Quali sarebbero i nostri prossimi passi e quale potrebbe essere l'impatto potenziale dell'installazione di psybnc?
Personalmente non ho accesso ai server in questione, ma mi è stato chiesto di fornire input sulla situazione.
PsyBNC è un IRC bouncer , ovvero un programma destinato a inoltrare le comunicazioni per la IRC rete di chat. Di per sé, è piuttosto benigno; utilizza parte della CPU e della larghezza di banda e potrebbe essere utilizzato come strumento indiretto per la trasmissione di dati o il montaggio di attacchi di dubbia legalità.
La domanda reale è: poiché l'installazione e l'avvio di questo programma richiedono diritti amministrativi sul tuo server, chiunque lo abbia fatto avrebbe potuto fare molte più cose. Quindi, cosa ha fatto?
L'impatto potenziale è che questo individuo non identificato ha installato altri strumenti, ad es. un rootkit , il che significa che può tornare a volontà e controllare totalmente la macchina; nessun dato su di esso è sicuro, e la macchina può quindi essere utilizzata in vari schemi nefasti che potrebbero essere molto imbarazzanti per te (fino a farti precipitare in profondi problemi legali - in una sorta di scenario peggiore in cui l'aggressore è parte di Al-Qaida e porta la tua macchina all'attenzione della CIA). Come regola di base, se il tuo computer è rootkit, non è più il tuo computer.
Pertanto, il corso prudente consiste nel riformattare la macchina e reinstallarla da zero. Anche tutti i tuoi backup sono sospetti.
Nuke, nuke, nuke dall'orbita
Pulisci con il fuoco
Uccidi, uccidi, uccidi tutti i bit < br> Affinché le cose diventino difficili
Leggi altre domande sui tag privacy malware exploit attack-prevention incident-response